NotPetya配布で逮捕されたウクライナ人と「あえて感染した人々」の狙い

江添 佳代子

August 24, 2017 08:00
by 江添 佳代子

2017年8月5日(※)、ランサムウェア「NotPetya」を配布した容疑で、51歳のウクライナ人男性が逮捕された。同国のサイバーポリスと総務省の発表によれば、逮捕されたセルゲイ・ネヴェーロフ(Sergey Neverov)の自宅からはPetya-A(= NotPetya)の配布に利用されたコンピューター機器も押収されており、またネヴェーロフも自らの罪を認めているという。


ウクライナサイバーポリスのウェブページは、ネヴェーロフの部屋の様子も写真入りで伝えている。

NotPetyaは今年6月27日に大流行した悪名高きランサムウェアだ。それはウクライナを中心として瞬く間に国内外の大手企業、交通機関、金融機関などに感染を広げ、多くの市民の生活に混乱をもたらした。一部のセキュリティ研究者たちは「これはデータを復元できないように暗号化するランサムウェアなので、実質的にはワイパー(データ破壊を目的としたマルウェア)だ」と指摘している。また最も深刻な被害を受けたウクライナでは、「このマルウェアの活動はロシアが我が国に対して行ったサイバー戦争行為だ」と政府が公に発表した

そして今回のニュースは、ウクライナ当局が「NotPetyaの配布に携わった人物」を逮捕したという話題である。ここで「実際のNotPetyaは、ロシアではなくウクライナ市民が用いたマルウェアで、その犯人も無事に捕まったのだな」と誤解されることがないよう、先に結論を述べよう。

ネヴェーロフはNotPetyaの作者ではない。また彼は6月27日の大流行にも関与していなかったと見なされている。彼にかけられた容疑は、「希望者にPetya-A(=NotPetya)を入手させ、感染の手法を伝えた行為」であり、これは犯罪幇助に該当するとウクライナ警察は説明している。
 
※一部には「8月7日に逮捕された」という報道もあるのだが、ウクライナの法務省の公式サイトが2日遅れで逮捕を発表したために誤解があったのではないかと思われる。ウクライナサイバーポリスの公式発表の日付は5日となっている。

ネヴェーロフは何をしたのか?

もう少し詳しく説明しよう。ネヴェーロフの犯行を具体的に示すと
 
・「自分のコンピューターをNotPetyaに感染させる方法」を解説する動画を作成し、それを投稿した
・ファイルシェアリング用のサーバーにNotPetyaのコピーをアップロードした
・そのダウンロード用のリンクを、ソーシャルメディアでシェアした

以上である。つまり彼自身はマルウェアを作成しておらず、サイバー攻撃も仕掛けていない。NotPetyaの拡散に利用できるツールを闇市場で販売したり、あるいは6月27日の大流行を幇助したりといった容疑がかけられているのでもない。

どちらかといえば、彼は「NotPetyaの騒動に便乗して注目を集めようとした人物」と表現するべきだろう。これまで報じられてきたニュースや公開情報を参考にするなら、おそらくネヴェーロフはマルウェアの研究者ではなく「メカやコンピューターを偏愛するミドルエイジのYouTuber」だった。


ネヴェーロフのYouTubeアカウント(いきなりサックスの音が流れるので注意)

彼のYouTubeアカウントに投稿されているコンテンツは音声も文字もウクライナ語なのだが、それでも彼のチャンネルの登録者数は1万2000人を超えている。彼の動画には英語などの字幕もついていない。しかし彼がどのようなジャンルのコンテンツを提供してきたのかは、映像から大まかに知ることができる。


ネヴェーロフの動画一覧。メカの修理や改造に関するものが多いが、自宅の猫やニワトリを撮影した「ほのぼの動画」もある。一部の動画では彼自身が堂々と姿を見せている。


ネヴェーロフがWikipediaの「Petya」の記述を見ながら持論を展開しているらしき動画



ネヴェーロフが「NotPetya」に感染する実験を行いながら、その様子を解説しているらしき動画
※この映像では、ウクライナ警察が公開した「ネヴェーロフの自宅のガサ入れを伝える動画」と同じ部屋の様子を見ることができる。


彼のプロフィールには、ウクライナ・ロシア・米国の通貨によるカンパの送り先も記されている

これらのネヴェーロフの動画を見て、「これは一人のYouTuberが楽しく実験しているだけだ。彼の動画を見た視聴者が、わざわざ自分の意思で凶悪なランサムウェアを感染させることなどないだろう」と思った読者もいるかもしれない。しかしウクライナ警察によれば、ネヴェーロフがアップロードしたNotPetyaは、これまで少なくとも400台以上のコンピューターの感染に利用されたと考えられている。

ウクライナの「納税」とNotPetya

それをダウンロードした人々は何を望んでいたのか? 目的はいろいろ考えられる。たとえば個人のセキュリティ研究者が分析に利用するために。あるいは他者への嫌がらせを企んだ者もいたかもしれない。しかし現在のところウクライナ当局は、そのダウンロードが「納税申告の遅延」や「脱税」を目的として行われたのだと考えている。

ここでNotPetyaの感染ルートを思い出していただきたい。以前にもお伝えしたとおり、このランサムウェアの一次的な感染は、多くのウクライナの企業に利用されている人気の会計ソフト「M.E.Doc」のアップデートを介して行われた。そのためウクライナでは、M.E.DocをインストールしていたマシンがNotPetyaに感染し、社内の財務データを暗号化されてしまった企業も少なくなかった。

ウクライナでは通常、企業の納税申告の期限日が6月30日に設定されている。つまりNotPetyaが一気に拡散した6月27日は納税申告の締め切りの直前だった。しかし普段の業務で使っているマシンが突然ロックされ、混乱に陥った企業にとって、その期日を守ることは困難だっただろう。まして社内の会計データの適切なバックアップをこまめに取っていなかった企業なら、完全にお手上げだったはずだ。そこでウクライナ政府は「NotPetyaに感染した企業」の税務申告の期限日を12月31日まで延長すると発表した。

それならば実際には被害を受けていない企業でも、意図的にNotPetyaをダウンロードして自社のコンピューターに感染させることさえできれば、納税申告(ひいては納税そのもの)を半年も先送りにできるのでは?……と企んだ人がいることは想像に難くない。あるいは「NotPetyaに感染したおかげで、一部の期間の財務データが暗号化されてしまいました」と申告すれば、実際の売り上げや経費を誤魔化せると考えた人もいただろう。それらの悪巧みが、ネヴェーロフからNotPetyaを入手した人々の動機だったとウクライナ当局は考えている。

Bleeping Computerの報道によれば、ウクライナのサイバーポリスは「納税を遅らせるため、あるいは自社の財政状況を隠すためにNotPetyaの事件を悪法している疑いのある企業を、すでに我々はリスト化した」と語っており、また疑惑の企業に対しては近々に厳重な捜査を行うとも警告している。ネヴェーロフの動画を見ながら自社のマシンをNotPetyaに感染させて、虚偽の税務申告をするつもりだった人々は現在、すでに動かなくなったコンピューターを持て余しながら戦々恐々としていることだろう。

最高で3年の懲役刑

筆者はウクライナ語を解さないため、ネヴェーロフのコンテンツが「税金の虚偽申請」に言及していたのかどうかを確認することはできなかった。しかし8月10日の『The Hacker News』の報道によれば、ネヴェーロフはNotPetyaをオンラインで入手したあと、「ちょうどマルウェア研究者と同じように」、それを彼自身のコンピューターに感染させるテストの様子を動画で示した。それから彼はNotPetyaのコピーをシェアリングサイトにアップロードし、そのリンクをSNSに書き込み、「自己責任で利用するように」と記していた。

ひょっとすると、メカいじりを純粋に楽しんでいるネヴェーロフは、自身の投稿が悪事に利用される可能性について深く考えていなかったのかもしれない。彼は彼自身に関する様々な個人情報(たとえば自分の顔や声、住んでいる町の名前まで)をYouTubeで公開しているので、おそらく「隠れて悪いことをしている」という意識もなかっただろう。彼の目的は、視聴者からの賞賛やチャンネル登録者(そして、できれば少々のカンパ)を得ることだけだったのではないかと思われる。

今後の彼にはどのような運命が待ち受けているのだろうか? 先述のThe Hacker Newsの記事によれば「彼が違反した刑法第361条で科せられるのは最高でも2年の懲役刑」なのだが、彼に有罪判決が下った場合には最高で3年間の懲役刑が科せられる可能性もある、とウクライナ警察は公式にコメントしている。

ここで再び記しておきたいのは、ネヴェーロフがNotPetyaの作者ではないということだ。そして彼の投稿を利用しなくともNotPetyaを入手する方法はある(実際、ネヴェーロフ自身もオンラインでダウンロードしている)。また彼はそれを金銭目的で拡散したのではなく、逃げ隠れをすることもなく、逮捕されたあとはすんなりと犯行を認めている。これらの点を考えるなら、彼に対して3年の懲役刑は少々厳しすぎるようにも感じられるのだが、ウクライナ当局としては「それだけNotPetyaに関しては厳しく接していく」という姿勢を示したいのかもしれない。

NotPetyaで被害を受けた大企業の一つ、世界第1位の海運コングロマリット「A.P. モラー・マースクグループ」は先日、第2四半期の収益報告書を発表した(PDF)。その報告によれば、同グループはNotPetyaに感染した重要なシステムを一次的に停止させたことで2億ドルから3億ドル(約200億円〜300億円)の損失を被ったという。
 
「今回のサイバー攻撃は、これまでに見られなかったタイプのマルウェアによるものだった」と同社は語っている。他にも数多くの大企業や組織を一斉に業務停止へと追いこんだNotPetyaが、世界にどれほどの損害を与えたのかは未だ想像もつかない。




江添 佳代子

江添 佳代子

ライター、翻訳者。北海道生まれ、東京育ち、カナダ・バンクーバー在住。インターネット広告、出版に携わったのち現職。英国のITメディア『The Register』のセキュリティニュースの翻訳を、これまでに約800本担当してきた。

THE ZERO/ONEの記事を中心に、ダークウェブをテーマにした『闇ウェブ』(文春新書)の執筆に参加。


ビール祭りにやってきた犯罪者を「顔認識」で一網打尽

November 13, 2017 08:00

by 牧野武文

中国山東省青島市で開催された国際ビール祭りで、青島市開発区警察は、会場に顔認識システムを設置。公安部保有のデータベースと照合することで、犯罪者を抽出し、逮捕するという作戦を実行した。49名の逃亡犯、麻薬犯罪者、スリなどを逮捕する成果をあげたと『新浪科技』が伝えた。 10万人以上がやってくるイベント …

PacSec 2017レポートソフトバンクPepperが危険な理由

November 10, 2017 08:30

by 『THE ZERO/ONE』編集部

米国のセキュリティ企業「IOActive」に所属するセキュリティエンジニア、ルーカス・アパ氏が「スカイネットが来る前にロボットをハックする」と題してロボット、特に家庭向けの製品に関するセキュリティ・リスクについて「PacSec2017」で講演を行った。 家庭用のロボットはリスクだらけ ルーカス氏はネ…